Ingenieria Social o social engineering

La ingeniería social se basa en engañar a los usuarios legítimos para acceder a datos que puedan servir para otros fines al atacante. Es relativamente sencillo fácil engañar a alguien si se gana primero la confianza de la víctima.

En la actualidad uno de los tipos de ataque más extendidos se producen por Ingenieria Social.

Son ataques muy dirigidos y personalizados. En ellos los ciberdelincuentes investigan en detalle al objetivo y su entorno.

Aprovecha que el usuario es el eslabón más débil, para manipularlo y hacer que revele información sensible o que realice alguna acción no permitida.

Para comprender este fenómeno, debemos tener en cuenta que este tipo de ataques aborda tanto los entornos tradicionales (equipos y portátiles que se encuentran dentro de la red corporativa), como dispositivos móviles.

Son ampliamente utilizados por los usuarios en entornos wifi no protegidos, redes sociales, etc.

Por lo tanto, nos encontramos ante un escenario complejo.

¿Qué tienen en común los ataques por Ingenieria Social?

  1. Por lo general nos solicitan algo de valor: como dinero, numero tarjetas de crédito o datos bancarios, identificadores o claves de acceso, permiso para acceder en remoto a tu equipo o dispositivos móviles.
  2. Quieren mantener el tema del asunto en privado para evitar que alguien pueda alertarte que es un engaño.
  3. Te meten prisa para evitar que empieces a sospechar.
  4. Suelen asumir figuras de cierta autoridad o prestigio: Organismos públicos, grandes empresas, la policía, etc

¿Cómo se producen? ¿Cuáles son las tácticas más utilizadas?

Phishing

Los correos electrónicos de phishing son una de las tácticas más utilizadas en la actualidad.

Se suele utilizar la suplantación de identidad a través de correos electrónicos anuncios. También simulan sitios web parecidos a los que ya utilizas.

Casos de Phishing reales son, por ejemplo, recibir un correo electrónico que parece enviarlo tu banco solicitando que confirmes el número de tu cuenta bancaria.

O recibir un correo de un directivo de la empresa pidiéndote que realices en secreto una transferencia urgente a una cuenta offshore (Ver Fraude del CEO)

Vishing

En el Vishing, los métodos son similares a los descritos en el Phishing.

De hecho su finalidad es exactamente la misma.

La diferencia es que este utiliza una llamada telefónica en lugar de un correo electrónico o un sitio web falso.

Por ejemplo: los delincuentes utilizan voz automatizada, muy similar a las utilizadas por los bancos o las operadoras. Llaman aleatoriamente a algunos números.
A la persona que atiende la llamada le piden el número de cuenta, de tarjetas de crédito, su fecha de caducidad, claves o nombre de usuarios. Con la excusa de que su tarjeta se está usando de forma fraudulenta o cualquier otro argumento. Le facilitan un número de teléfono al que llamar y verificar los datos.

La técnica del USB olvidado o «dropping»

El atacante deja olvidado una memoria USB a propósito. Ésta tiene un malware que se autoinstala y e infecta cualquier equipo donde lo conectemos.

¿Hasta donde crees que conduce la curiosidad? ¿Usarías un pendrive USB que te encontraras por la calle? Cuidado con el software malicioso que pueden contener. 

Este famoso experimento arroja interesantes conclusiones…

Tailgating

Aquí el atacante obtiene acceso no autorizado a un área restringida (como oficinas o centros de datos).

Utilizan el descuido o engañando al personal autorizado de ese lugar.

Parece como de película, pero este tipo de ataques se producen y suelen ser bastante efectivos.

Por ello, conviene adoptar medidas de seguridad para evitar obtener acceso físico no autorizado a nuestras instalaciones.

Las más populares son el uso de tarjetas de proximidad, torniquetes de acceso individual. También sensores que detecten múltiples personas, controles biométricos, cámaras con reconocimiento facial, mantraps…

¿Cómo detectar posibles ataques de ingeniería social y cómo actuar ante ellos?

El uso de la ingeniería social es la técnica de malware de mayor propagación hoy en día. 

La estrategia para abordar este tipo de problemática pasa necesariamente por la concienciación y la sensibilización continua de nuestro el personal. 

Es necesario también involucrar también a nuestros clientes y proveedores.

Si queréis fomentar entre empleados y colaboradores unas buenas prácticas en materia de seguridad, puede seros útil este kit de concienciación de INCIBE.


¿Estáis interesados en mejorar la seguridad de vuestro negocio o empresa?

tecnozero es especialista en soluciones de seguridad adaptadas a la pequeña y mediana empresa: endpoints y servidores, firewalls corporativos, cifrado, dispositivos móviles y mucho más. Protege tus sistemas informáticos y tus datos.

Ingenieria Social, un ataque sigiloso y efectivo
5 (100%) 2 vote[s]

Shares
Shares
Share This